对于大多数企业来说,网络应用安全始于针对开放式网络应用安全项目(OWASP)十大网络应用安全风险[1]而设计的解决方案。这些风险包括最常见的网络应用攻击向量,如 SQL 注入和跨站脚本 (XSS)。不过,OWASP 还列出了几十个其他漏洞,如不受限制的文件上传[2],这些漏洞 "对应用程序构成严重威胁"。
OPSWAT 最近发布的《2021 年网络应用安全报告》显示,几乎所有(99%)受访公司都在不同程度上关注如何防范文件上传带来的恶意软件和网络攻击。企业部署文件上传门户的原因多种多样,如提交表单和应用程序或共享和协作内容。在拥有文件上传门户的组织中,超过一半(51%)的组织每天处理的文件上传量超过 5,000 个。这一数量(包括从第三方来源提交的文件)为黑客提供了广阔的攻击面。
OPSWAT 尽管《全球报告》推荐了文件上传安全的 10 项最佳实践,但在拥有文件上传门户的企业中,只有 8% 的企业完全实施了全部 10 项最佳实践。在拥有文件上传门户的企业中,一半以上的企业只实施了其中不到一半的最佳实践。这是网络应用安全战略中的一个重大盲点,尤其是考虑到有针对性的攻击正在迅速增加。
一个主要挑战是网络攻击的不断演变和日益复杂。各组织不能依赖传统的 "检查框 "防御措施。依赖半途而废的措施会带来虚假的安全感,也不符合对关键基础设施保护至关重要的零信任方法。有鉴于此,让我们来看看需要揭穿的几个常见网络应用安全神话。
误区1:My 网络应用程序很Secure ,因为我有网络应用程序Firewall (WAF)
事实:对于大多数企业来说,网络应用安全始于 WAF;不幸的是,对于许多企业来说,网络应用安全也止于 WAF。WAF 监控网络服务的 HTTP 流量,是解决 OWASP 十大问题的理想选择,这也是 WAF 成为如此受欢迎的网络应用安全解决方案的原因。然而,WAF 管理 HTTP 流量的功能也是其局限性所在,因为它无法对其他类型的流量(如通过网络应用程序上传的文件)进行更深入的检查。这就为其中托管的任何攻击或恶意有效载荷留下了隐患,使其无法被发现。
误解2:My 上传文件是Secure ,因为我限制了可上传文件的具体类型
事实: 限制特定文件类型确实是一种最佳做法,因为许多文件类型可能包含恶意可执行文件,事实上,近三分之二拥有文件上传门户网站的组织已经这样做了。例如,一个组织可能会向客户提供上传文件的功能,以简化共享文件的流程--在这种情况下,阻止 .exe 文件是合理的。但是,如果阻止 .doc 和 .pdf 等常见文档文件,则会适得其反。然而,即使是这些最常见的文档文件类型也很容易被利用;宏可以很容易地混淆恶意代码,从而下载恶意有效载荷。企业最好使用 CDR(内容解除和重构)等基于预防的技术,该技术可以从文档的各个组件中删除任何恶意内容,从而提供一个 "可安全使用 "的文件。
误区3:My 网络应用程序是Secure ,因为我用反病毒引擎扫描文件上传
事实:扫描已知的恶意软件也是文件上传安全的最佳做法--同样,近三分之二拥有文件上传门户的组织已经这样做了。但是,恶意软件很容易绕过单一的防病毒引擎。但是,整合多个防病毒和反恶意软件引擎既具有挑战性,又需要大量资源。OPSWAT 研究表明,需要 20 多个防病毒引擎才能达到 99% 以上的检测率,而 95% 的企业却只有不到 20 个防病毒引擎。不同的反病毒引擎对新恶意软件的响应时间也各不相同。针对已知和未知恶意软件的一种关键保护措施--内容解除和重构(CDR),可将文件解构为单个元素,对其进行消毒以消除恶意内容,并将其还原为功能文件。然而,只有三分之一的组织全面部署了 CDR,甚至少于 AV。
Secure 网络应用程序的文件上传安全性
说到网络应用安全,企业需要考虑的不仅仅是 OWASP Top Ten 和部署网络应用防火墙。在文件上传方面,企业需要在安全性和生产率之间取得平衡--阻止可执行文件可能会降低风险,但阻止常见的文件类型是不可行的。同样,在扫描恶意软件时,单一的反病毒引擎可能会降低已知攻击的风险,但仍然容易受到零日攻击和 APT 的影响。
OPSWAT MetaDefender 平台为文件上传安全提供了全面的解决方案,并通过与多个防病毒软件和其他关键技术(如 )集成同步扫描,帮助企业弥补网络应用程序安全漏洞。Deep CDRMetaDefender Multiscanning集成了 30 多个反病毒引擎,可检测 99% 以上的已知恶意软件。 MetaDefender Deep CDRMetaDefender 还可以检测基于文件的漏洞并验证 4,500 多种常见文件类型,这是文件上传安全的其他一些关键最佳实践。
阅读OPSWAT 《2021 年网络应用安全报告》,了解当今网络应用安全趋势的更多信息。
如果您想了解更多有关确保网络应用程序文件上传安全的信息,请联系OPSWAT。
[1]https://owasp.org/www-project-top-ten/
[2]https://owasp.org/www-community/vulnerabilities/Unrestricted_File_Upload
